XML处理模块 XML 漏洞 defusedxml 包 XML处理模块 源码： Lib/xml/ 用于处理XML的Python接口分组在 xml 包中。 警告 XML 模块对于错误或恶意构造的数据是不安全的。 如果你需要解析不受信任或未经身份验证的数据，请参阅 XML 漏洞 和 defusedxml 包 部分。 值得注意的是 ...

7.3 使用社会工程学工具包（SET） 7.3.1 启动社会工程学工具包 7.3.2 传递攻击载荷给目标系统 7.3.3 收集目标系统数据 7.3.4 清除踪迹 7.3.5 创建持久后门 7.3.6 中间人攻击（MITM） 7.3 使用社会工程学工具包（SET） 社会工程学工具包（SET）是一个开源的、Python驱动的社会工程学渗透测试...

4.12. Xpath注入 4.12.1. Xpath定义 4.12.2. Xpath注入攻击原理 4.12. Xpath注入 4.12.1. Xpath定义 XPath注入攻击是指利用XPath解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。XPath注入攻击...

8.1 The Geometry of Innocent Flesh on the Bone: Return-into-libc without Function Calls (on the x86) 简介 背景 寻找指令序列 8.1 The Geometry of Innocent Flesh on the Bone: Return-into...

9.4 避免SQL注入 什么是SQL注入 SQL注入实例 如何预防SQL注入 总结 links 9.4 避免SQL注入 什么是SQL注入 SQL注入攻击（SQL Injection），简称注入攻击，是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获...

9.7 小结 links 9.7 小结 这一章主要介绍了如：CSRF攻击、XSS攻击、SQL注入攻击等一些Web应用中典型的攻击手法，它们都是由于应用对用户的输入没有很好的过滤引起的，所以除了介绍攻击的方法外，我们也介绍了了如何有效的进行数据过滤，以防止这些攻击的发生的方法。然后针对日异严重的密码泄漏事件，介绍了在设计Web应用中可采用的从基本到专...

10.6. 授权码重定向URI伪造 10.6. 授权码重定向URI伪造 当使用授权码许可类型请求授权时，客户端可以通过“redirect_uri”参数指定重定向URI。 如果攻击者能够伪造重定向URI的值，这可能导致授权服务器向攻击者控制的URI重定向带有授权码的资源所有者用户代理。 攻击者可以在合法客户端上创建一个帐户，并开始授权流程。当攻击者的...

Splunk 插件说明 插件功能介绍 Splunk 插件说明 点击这里 下载测试数据，测试数据可直接导入 Splunk 插件功能介绍 总览 其中各个图表都可根据自身的的需求，通过Splunk 语法格式聚合搜索出想要的数据，可通过点击编辑按钮进行一系列操作。 1.可通过时间筛选器选择时间区间，所有数据表格都可以共享此筛选器时间，也可以...

日志说明 日志类型 日志格式 1. 攻击日志格式 2. 安全基线检查报警日志 日志说明 日志类型 OpenRASP 包含四类日志，均存放于 <app_home>/rasp/logs 目录下 文件名 文件内容 plugin/plugin-DATE.log 检测插件的日志，e.g 插件异常、插件调试输出 rasp...

网络安全 网络安全 安全攻击类型 中断 窃取 篡改 伪造 APT 高级持续性威胁，利用先进的攻击手段和社会工程学方法，对特定目标进行长期持续性渗透和攻击 分五步： 情报收集 防线突破 通道建立 横向渗透 信息收集级外传 暗网 表层网络：任何搜索引擎都能抓取并轻松访问，只战整个网络4%-20% 深网：表层之外的网络，普通搜索...